Bogotá D.C.

10

Asunto: Radicación: 13-102526- -00002-0000

Trámite: 113
Evento: 0
Actuación: 440
Folios: 1

Estimado(a) Señor:

[Datos personales eliminados. Ley 1266 de 2008; Ley 1581 de 2012]

Con el alcance previsto en el artículo 28 del Código de Procedimiento Administrativo y

de lo Contencioso Administrativo, damos respuesta a su consulta radicada en esta
Oficina con el número señalado en el asunto, en los siguientes términos.

1. Consulta

El peticionario formula la siguiente consulta:

“(…) En ejercicio del derecho fundamental de petición, me permito consultar, en el

ámbito de la Ley 1581 de 2012 o de Hábeas Data, cuál es el texto o modelo de
aviso – si la Superintendencia sugiere alguno- que se debe fijar en un lugar visible y
accesible para los transeúntes, en aquellos casos de circuitos cerrados de
televisión con fines de seguridad y prevención del delito, instalados en los centros
comerciales en la actualidad. (…)”

2. Materia objeto de la consulta

La Superintendencia de Industria y Comercio, de acuerdo con el artículo 21 de la Ley
1581 de 2012 cuenta, entre otras, con las siguientes funciones en materia de
protección de datos personales:

• Velar por el cumplimiento de la legislación en materia de protección de datos

personales;

• Adelantar las investigaciones del caso, de oficio o a petición de parte y, como

resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el
derecho de hábeas data.

• Disponer el bloqueo temporal de los datos cuando, de la solicitud y de las pruebas

aportadas por el Titular, se identifique un riesgo cierto de vulneración de sus derechos
fundamentales, y dicho bloqueo sea necesario para protegerlos mientras se adopta
una decisión definitiva.

• Promover y divulgar los derechos de las personas en relación con el Tratamiento de

datos personales e implementar campañas pedagógicas para capacitar e informar a
los ciudadanos acerca del ejercicio y garantía del derecho fundamental a la protección
de datos.

• Impartir instrucciones sobre las medidas y procedimientos necesarios para la

adecuación de las operaciones de los Responsables del Tratamiento y Encargados del
Tratamiento a las disposiciones previstas en la presente ley.

• Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la

información que sea necesaria para el ejercicio efectivo de sus funciones.

Nos permitimos advertirle que en virtud del principio y garantía constitucional del
debido proceso consagrado en el artículo 29 de la Constitución Política, no nos es
posible resolver a través de conceptos situaciones particulares.

Sin embargo, dentro del ámbito de las referidas competencias, a continuación damos
respuesta de manera general a su consulta, previo a lo cual le informamos que esta
Superintendencia no ha fijado un modelo de texto o aviso a ser instalado en los casos
de videovigilancia.

2.1 La protección de los datos personales.

El artículo 15 de la Constitución Política consagra los derechos a la intimidad, al buen
nombre y a la protección de datos personales o habeas data en los siguientes
términos:

“Todas las personas tienen derecho a su intimidad personal y familiar y a su buen

nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y en archivos de entidades públicas y privadas.

En la recolección, tratamiento y circulación de datos se respetarán la libertad y

demás garantías consagradas en la Constitución. (…)” (1)

Dicho derecho ha sido desarrollado principalmente en las leyes 1266 de 2008 –

Habeas data- y 1581 de 2012 –Protección de datos personales-.

Al respecto la Corte Constitucional ha considerado que la Ley 1266 de 2008 regula el

hábeas data financiero, el cual ha sido definido así:

“el derecho que tiene todo individuo a conocer, actualizar y rectificar su información
personal comercial, crediticia y financiera, contenida en centrales de información
pública o privada, que tiene como función recopilar, tratar y circular esos datos con
el fin de determinar el nivel de riesgo financiero” (2)

Por otra parte, el habeas data genérico ha sido definido como:

“el derecho que tienen todas las personas a conocer, actualizar y rectificar las
informaciones que se hayan escogido sobre ellas en archivos y bancos de datos de
naturaleza pública y privada” (3)

Sin embargo, se debe tener en cuenta que como lo ha manifestado la Corte

Constitucional, dicha clasificación es teórica y ambas clases son modalidades de un
mismo derecho fundamental.

2.2 Las imágenes como datos personales.

Un concepto esencial y que determina la aplicabilidad de dicha regulación es el de dato

personal, el cual ha sido definido de la siguiente manera por el literal c del artículo 3 de
la Ley 1581 de 2012:

“Cualquier información vinculada o que pueda asociarse a una o varias personas

naturales determinadas o determinables” (4)
En relación con las características de los datos personales la Corte Constitucional ha
considerado:

“En efecto, la jurisprudencia constitucional ha precisado que las características de

los datos personales –en oposición a los impersonales - son las siguientes: “i) estar
referido a aspectos exclusivos y propios de una persona natural, ii) permitir
identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto
que se logre con el mismo y con otros datos; iii) su propiedad reside exclusivamente
en el titular del mismo, situación que no se altera por su obtención por parte de un
tercero de manera lícita o ilícita, y iv) su tratamiento está sometido a reglas
especiales (principios) en lo relativo a su captación, administración y divulgación.””
(5)

Así mismo, se debe tener en cuenta la definición presentada por literal e del artículo 3
de la Ley 1266 de 2008:

“Dato personal. Es cualquier pieza de información vinculada a una o varias

personas determinadas o determinables o que puedan asociarse con una persona
natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de
datos de la presente ley. Cuando en la presente ley se haga referencia a un dato,
se presume que se trata de uso personal. Los datos personales pueden ser
públicos, semiprivados o privados;” (6)

Teniendo en cuenta dichas definiciones, se puede concluir que las imágenes

encuadran dentro del concepto de dato personal y en consecuencia, les resulta
aplicable el régimen de protección de datos personales prevista en la Ley 1581 de
2012.

En relación con el carácter de datos personales de las imágenes la Agencia de

Española de Protección de Datos ha considerado:

“El concepto de dato personal incluye las imágenes cuando se refieran a personas
identificadas o identificables. Por ello, los principios vigentes en materia de
protección de datos personales deben aplicarse al uso de cámaras, videocámaras y
a cualquier medio técnico análogo, que capte y/o registre imágenes (…)” (7)

Por otra parte, en relación con el ámbito de aplicación de la Ley 1581 de 2012 se debe
tener en cuenta lo dispuesto en el inciso tercero del artículo segundo de la Ley 1581,
en el cual se establecen las excepciones a la aplicación de dicha ley, dentro de las
cuales se incluyen:

“(…)
 a) A las bases de datos o archivos mantenidos en un ámbito exclusivamente
personal o doméstico.

Cuando estas bases de datos o archivos vayan a ser suministrados a terceros se

deberá, de manera previa, informar al Titular y solicitar su autorización. En este
caso los Responsables y Encargados de las bases de datos y archivos quedarán
sujetos a las disposiciones contenidas en la presente ley;

b) A las bases de datos y archivos que tengan por finalidad la seguridad y defensa
nacional, así como la prevención, detección, monitoreo y control del lavado de
activos y el financiamiento del terrorismo;

c) A las Bases de datos que tengan como fin y contengan información de

inteligencia y contrainteligencia;

d) A las bases de datos y archivos de información periodística y otros contenidos

editoriales; (…)” (8)

De acuerdo con lo cual, por regla general la Ley 1581 de 2012 resultará aplicable a las
grabaciones que estén vinculadas con una o varias personas determinadas o
determinables, sin embargo, cuando la grabación se lleve a cabo en un ámbito
exclusivamente personal o doméstico, se realice con finalidad periodística o tenga
como finalidad la seguridad y defensa nacional no le resultará aplicable la Ley 1581 de
2012.

2.3 La videovigilancia y los principios de tratamiento de datos personales.

El concepto de videovigilancia se encuentra definido de la siguiente manera:

“1. f. Esp. Vigilancia a través de un sistema de cámaras, fijas o móviles.” (9)

En relación con la videovigilancia la Autoridad Española de Protección de Datos ha

considerado:

“La captación y/o el tratamiento de imágenes con fines de vigilancia es una práctica
muy extendida en nuestra sociedad. La videovigilancia generalmente persigue
garantizar la seguridad de los bienes y personas. (…) La utilización de medios
técnicos para la vigilancia repercute sobre los derechos de las personas lo que
obliga a fijar garantías. (…)” (10)

En este sentido, la finalidad de la videovigilancia por regla general es la de garantizar

la seguridad de bienes o personas en determinados lugares.

Dado que, según se ha analizado, a la videovigilancia le resulta aplicable la Ley 1581

de 2012, se deben observar los principios contenidos en dicha norma, en especial los
siguientes:

2.2.1 El principio de libertad y la autorización para el Tratamiento de datos

personales.

La autorización del titular para el Tratamiento de datos personales está prevista en el

artículo 9 de la Ley 1581 de 2012:

“Autorización del Titular. Sin perjuicio de las excepciones previstas en la ley, en el

Tratamiento se requiere la autorización previa e informada del Titular, la cual
deberá ser obtenida por cualquier medio que pueda ser objeto de consulta
posterior.” (11)

Por su parte, el principio de libertad está consagrado en los siguientes términos en el

literal c del artículo 14 de la Ley 1581 de 2012:

“c) Principio de libertad: El Tratamiento sólo puede ejercerse con el consentimiento,

previo, expreso e informado del Titular. Los datos personales no podrán ser
obtenidos o divulgados sin previa autorización, o en ausencia de mandato legal o
judicial que releve el consentimiento;” (12)

Dicho principio, que es pilar fundamental de las normas de protección de datos

personales, implica que la actividad de Tratamiento de datos personales solamente se
pueda llevar a cabo con la autorización previa del titular de los mismos.

En relación con los requisitos que debe cumplir dicha autorización la Corte
Constitucional consideró:

“De todo lo anterior, puede entonces deducirse: (i) los datos personales sólo
pueden ser registrados y divulgados con el consentimiento libre, previo, expreso e
informado del titular. Es decir, no está permitido el consentimiento tácito del Titular
del dato y sólo podrá prescindirse de él por expreso mandato legal o por orden de
autoridad judicial, (ii) el consentimiento que brinde la persona debe ser definido
como una indicación específica e informada, libremente emitida, de su acuerdo con
el procesamiento de sus datos personales. Por ello, el silencio del Titular nunca
 podría inferirse como autorización del uso de su información y (iii) el principio de
libertad no sólo implica el consentimiento previo a la recolección del dato, sino que
dentro de éste se entiende incluida la posibilidad de retirar el consentimiento y de
limitar el plazo de su validez.” (13)

Finalmente, y dado que la ley no exige que la autorización dada por los titulares de los
datos personales para su tratamiento adopte una forma determinada, en principio, y
entretanto no se regule en contrario, podrá adoptar cualquier forma siempre que se
garantice el cumplimiento de los requisitos analizados con antelación.

Dicha materia será objeto de reglamentación por parte del Gobierno Nacional, cuyo
proyecto puede ser consultado en el siguiente link:
https://www.mincomercio.gov.co/publicaciones.php?id=3655 o siguiendo esta ruta:

• Ingresar a la página web: www.mincomercio.gov.co

• Acceder a la opción: Normatividad – proyectos

2.2.2 Principio de finalidad.

El principio de finalidad exige que el fin perseguido al hacer el tratamiento de datos

personales sea legítimo en relación con la Constitución y la ley, al respecto la Corte
Constitucional ha precisado:

“Por una parte, los datos personales deben ser procesados con un propósito
específico y explícito. En ese sentido, la finalidad no sólo debe ser legítima sino que
la referida información se destinará a realizar los fines exclusivos para los cuales
fue entregada por el titular. (…)

Así mismo, los datos personales deben ser procesados sólo en la forma que la
persona afectada puede razonablemente prever. Si, con el tiempo, el uso de los
datos personales cambia a formas que la persona razonablemente no espera, debe
obtenerse el consentimiento previo del titular.

Por otro lado, de acuerdo la jurisprudencia constitucional y los estándares

internacionales relacionados previamente, se observa que el principio de finalidad
implica también: (i) un ámbito temporal, es decir que el periodo de conservación de
los datos personales no exceda del necesario para alcanzar la necesidad con que
se han registrado y (ii) un ámbito material, que exige que los datos recaudados
sean los estrictamente necesarios para las finalidades perseguidas.
 En razón de lo anterior, el literal b) debe ser entendido en dos aspectos.

Primero, bajo el principio de necesidad se entiende que los datos deberán ser
conservados en una forma que permita la identificación de los interesados durante
un periodo no superior al necesario para los fines para los que fueron recogidos. Es
decir, el periodo de conservación de los datos personales no debe exceder del
necesario para alcanzar la necesidad con que se han registrado. (…)

Segundo, los datos personales registrados deben ser los estrictamente necesarios
para el cumplimiento de las finalidades perseguidas con la base de datos de que se
trate, de tal forma que se encuentra prohibido el registro y divulgación de datos que
no guarden estrecha relación con el objetivo de la base de datos. En consecuencia,
debe hacerse todo lo razonablemente posible para limitar el procesamiento de
datos personales al mínimo necesario. Es decir, los datos deberán ser: (i)
adecuados, (ii) pertinentes y (iii) acordes con las finalidades para las cuales fueron
previstos.” (14)

De acuerdo con lo cual, el tratamiento de los datos personales no solamente debe

perseguir un fin legítimo, sino que los datos deben ser los estrictamente necesarios
para la obtención de dicha finalidad y el periodo de conservación de los mismos no
puede ser más del necesario para el fin perseguido. 2.2.3 Principio de seguridad. El
literal g del artículo 4 de la Ley 1581 de 2012 consagra el principio de seguridad en el
Tratamiento de datos personales en los siguientes términos:

“g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable

del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se
deberá manejar con las medidas técnicas, humanas y administrativas que sean
necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento.” (15)

En relación con dicho principio la Corte Constitucional consideró:

“2.3.1.1.1. Principio de seguridad: Al amparo de este principio, la información sujeta

a tratamiento por el responsable o encargado, se deberá manejar con las medidas
técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a
los registros evitando su adulteración, pérdida, consulta, uso o acceso no
autorizado o fraudulento.

De este principio se deriva entonces la responsabilidad que recae en el

administrador del dato. El afianzamiento del principio de responsabilidad ha sido
una de las preocupaciones actuales de la comunidad internacional, en razón del
efecto “diluvio de datos”, a través del cual día a día la masa de datos personales
existente, objeto de tratamiento y de ulterior transferencias, no cesa de aumentar.
 Los avances tecnológicos han producido un crecimiento de los sistemas de
información, ya no se encuentran sólo sencillas bases de datos, sino que surgen
nuevos fenómenos como las redes sociales, el comercio a través de la red, la
prestación de servicios, entre muchos otros. Ello también aumenta los riegos de
filtración de datos, que hacen necesarias la adopción de medidas eficaces para su
conservación. Por otro lado, el mal manejo de la información puede tener graves
efectos negativos, no sólo en términos económicos, sino también en los ámbitos
personales y de buen nombre.

En estos términos, el Responsable o Encargado del Tratamiento debe tomar las

medidas acordes con el sistema de información correspondiente. Así, por ejemplo,
en materia de redes sociales, empieza a presentarse una preocupación de
establecer medidas de protección reforzadas, en razón al manejo de datos
reservados. En el año 2009, el Grupo de Trabajo Sobre Protección de Datos de la
Unión Europea señaló que en los Servicios de Redes Sociales” o “SRS debe
protegerse la información del perfil en el usuario mediante el establecimiento de
“parámetros por defecto respetuosos de la intimidad y gratuitos que limiten el
acceso a los contactos elegidos”.

Existe entonces un deber tanto de los Responsables como los Encargados de

establecer controles de seguridad, de acuerdo con el tipo de base de datos que se
trate, que permita garantizar los estándares de protección consagrados en esta Ley
Estatutaria.” (16)

De acuerdo con lo anterior, es un deber tanto de los Responsables como Encargados

del Tratamiento de los datos personales el establecer medidas con el fin de garantizar
la seguridad de las bases de datos, y en especial que:

• No sea adulterada la información contenida en las bases de datos.

• No se pierda la información de las bases de datos.

• No se pueda hacer uso, consultar o acceder sin autorización o de manera fraudulenta

a las bases de datos.

Dado que la normativa no determina de manera específica qué medidas se deben

adoptar para garantizar el principio de seguridad en el tratamiento de las bases de
datos, corresponde a los Responsables y Encargados del tratamiento implementar
aquellas que resulten idóneas para la obtención de tal fin.

2.2.4 Principio de acceso y circulación restringida.

Este principio exige que el tratamiento de los datos personales solamente sea
realizado por el Titular del dato y por las personas autorizadas por la ley, en
consecuencia, se encuentra prohibida su divulgación masiva, salvo que se trate de
información pública.

En relación con este numeral la Corte Constitucional precisa:

“La norma debe entenderse que también se encuentra prohibida

toda conducta tendiente al cruce de datos entre las diferentes bases de
información, excepto cuando exista una autorización legal expresa, es decir, lo que
la jurisprudencia ha denominado el principio de individualidad del dato. Como
consecuencia de lo anterior, queda prohibido generar efectos jurídicos adversos
frente a los Titulares, con base, únicamente en la información contenida en una
base de datos. (…) De otra parte, cabe señalar que aun cuando se trate de
información pública, su divulgación y circulación está sometida a los límites
específicos determinados por el objeto y finalidad de la base de datos.” (17)

2.3 Deberes de los Responsables y Encargados del Tratamiento de datos

personales.

Quienes instalan y realizar tratamiento de las imágenes obtenidas a través de la

videovigilancia de acuerdo con el rol que desempeñen pueden ser catalogados como
encargados o responsables del Tratamiento de datos personales.

En este sentido se deben tener en cuenta los conceptos de Responsables y

Encargados del tratamiento de datos personales, los cuales están consignados en los
literales d y e del artículo 3 de la Ley 1581 de 2012:

“d) Encargado del Tratamiento: Persona natural o jurídica, pública o privada, que
por sí misma o en asocio con otros, realice el Tratamiento de datos personales por
cuenta del Responsable del Tratamiento;

e) Responsable del Tratamiento: Persona natural o jurídica, pública o privada, que

por sí misma o en asocio con otros, decida sobre la base de datos y/o el
Tratamiento de los datos;” (18)

2.3.1 Deberes de los Responsables del tratamiento de datos personales.

En su artículo 17 la Ley 1581 de 2012 consagra los deberes de los Responsables del
tratamiento de datos personales:

“Deberes de los Responsables del Tratamiento. Los Responsables del Tratamiento

deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones
previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de

hábeas data;

b) Solicitar y conservar, en las condiciones previstas en la presente ley, copia de la

respectiva autorización otorgada por el Titular;

c) Informar debidamente al Titular sobre la finalidad de la recolección y los derechos

que le asisten por virtud de la autorización otorgada;

d) Conservar la información bajo las condiciones de seguridad necesarias para

impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;

e) Garantizar que la información que se suministre al Encargado del Tratamiento

sea veraz, completa, exacta, actualizada, comprobable y comprensible;

f) Actualizar la información, comunicando de forma oportuna al Encargado del

Tratamiento, todas las novedades respecto de los datos que previamente le haya
suministrado y adoptar las demás medidas necesarias para que la información
suministrada a este se mantenga actualizada;

g) Rectificar la información cuando sea incorrecta y comunicar lo pertinente al

Encargado del Tratamiento;

h) Suministrar al Encargado del Tratamiento, según el caso, únicamente datos cuyo

Tratamiento esté previamente autorizado de conformidad con lo previsto en la
presente ley;

i) Exigir al Encargado del Tratamiento en todo momento, el respeto a las

condiciones de seguridad y privacidad de la información del Titular;

j) Tramitar las consultas y reclamos formulados en los términos señalados en la

presente ley;

k) Adoptar un manual interno de políticas y procedimientos para garantizar el

adecuado cumplimiento de la presente ley y en especial, para la atención de
consultas y reclamos;
 l) Informar al Encargado del Tratamiento cuando determinada información se
encuentra en discusión por parte del Titular, una vez se haya presentado la
reclamación y no haya finalizado el trámite respectivo;

m) Informar a solicitud del Titular sobre el uso dado a sus datos;

n) Informar a la autoridad de protección de datos cuando se presenten violaciones a

los códigos de seguridad y existan riesgos en la administración de la información de
los Titulares.

o) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de

Industria y Comercio. Revocar la autorización dada para el tratamiento de datos
personales o solicitar la supresión del dato cuando en su tratamiento no se hayan
respetado los principios y garantías constitucionales y legales. Esto procede cuando
la Superintendencia de Industria y Comercio haya determinado que el Responsable
del tratamiento o el Encargado del tratamiento ha incurrido en conductas contrarias
a la Constitución o a la Ley 1581 de 2012.” (19)

Es de resaltar que el incumplimiento de los deberes a cargo de los Responsables del

Tratamiento de datos personales constituye una infracción que podrá ser sancionada
por la Superintendencia de Industria y Comercio, previa investigación por parte de la
Delegatura de Protección de Datos Personales.

En relación con los Responsables del tratamiento de los datos personales la Corte
Constitucional manifestó:

“(…) Los responsables del tratamiento tienen mayores

compromisos y deberes frente al titular del dato, pues son los llamados a
garantizar en primer lugar el derecho fundamental al habeas data, así como las
condiciones de seguridad para impedir cualquier tratamiento ilícito del dato. La
calidad de responsable igualmente impone un haz de responsabilidades,
específicamente en lo que se refiere a la seguridad y a la confidencialidad de los
datos sujetos a tratamiento. (…)” (20)

2.3.2 Deberes de los Encargados del tratamiento de datos personales.

Por su parte el artículo 18 la Ley 1581 de 2012 consagra los deberes de los
Encargados del Tratamiento de datos personales:

“Deberes de los Encargados del Tratamiento. Los Encargados del Tratamiento

deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones
previstas en la presente ley y en otras que rijan su actividad:

a) Garantizar al Titular, en todo tiempo, el pleno y efectivo ejercicio del derecho de

hábeas data;

b) Conservar la información bajo las condiciones de seguridad necesarias para

impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o
fraudulento;

c) Realizar oportunamente la actualización, rectificación o supresión de los datos en

los términos de la presente ley;

d) Actualizar la información reportada por los Responsables del Tratamiento dentro

de los cinco (5) días hábiles contados a partir de su recibo;

e) Tramitar las consultas y los reclamos formulados por los Titulares en los términos
señalados en la presente ley;

f) Adoptar un manual interno de políticas y procedimientos para garantizar el

adecuado cumplimiento de la presente ley y, en especial, para la atención de
consultas y reclamos por parte de los Titulares;

g) Registrar en la base de datos las leyenda \"reclamo en trámite\" en la forma en

que se regula en la presente ley;

h) Insertar en la base de datos la leyenda \"información en discusión judicial\" una

vez notificado por parte de la autoridad competente sobre procesos judiciales
relacionados con la calidad del dato personal;

i) Abstenerse de circular información que esté siendo controvertida por el Titular y

cuyo bloqueo haya sido ordenado por la Superintendencia de Industria y Comercio;

j) Permitir el acceso a la información únicamente a las personas que pueden tener

acceso a ella;

k) Informar a la Superintendencia de Industria y Comercio cuando se presenten

violaciones a los códigos de seguridad y existan riesgos en la administración de la
información de los Titulares;

l) Cumplir las instrucciones y requerimientos que imparta la Superintendencia de

Industria y Comercio.

Parágrafo. En el evento en que concurran las calidades de Responsable del

Tratamiento y Encargado del Tratamiento en la misma persona, le será exigible el
cumplimiento de los deberes previstos para cada uno.” (21)
De la misma manera que ocurre con los Responsables del Tratamiento de los datos
personales, los Encargados del Tratamiento de los datos personales pueden ser
investigados y sancionados por el incumplimiento de dichos deberes. Adicionalmente,
y según lo dispone el citado parágrafo del artículo 18 de la Ley 1581 de 2012 cuando
concurran en una misma persona las calidades de Encargado y Responsable, deberá
cumplir con los deberes previstos para ambos.

3. Conclusiones

3.1 La grabación de imágenes como la que se lleva a cabo en la videovigilancia se

enmarca dentro del concepto de dato personal y, en consecuencia, les resulta
aplicable la Ley 1581 de 2012.

3.2 La Ley 1581 de 2012 no resulta aplicable a las grabaciones que se lleven a cabo
dentro de un ámbito personal o doméstico, con fines periodísticos o que tengan como
finalidad la seguridad nacional del Estado.

3.3 Quienes desarrollan actividades de videovigilancia deben cumplir con los principios
consagrados en la Ley 1581 de 2012 en especial lo que respecta a la autorización
previa, la finalidad y la seguridad. Así mismo, según ostenten el carácter de
responsables o encargados del Tratamiento de datos personales deben dar
cumplimiento a los deberes que les impone la legislación.

3.4 Es de resaltarse que la autorización previa por parte de los titulares de los datos
personales a ser tratados puede obtenerse por cualquier medio, siempre y cuando se
cumpla con los principios fijados por la Corte Constitucional.

Si requiere mayor información sobre el desarrollo de nuestras funciones y sobre las

normas objeto de aplicación por parte de esta Entidad, puede consultar nuestra página
en Internet, www.sic.gov.co.

Notas de referencia:

(1) Artículo 15 Constitución Política de Colombia.

(2) Corte Constitucional, Sentencia C-1011 del 16 de octubre de 2008. Magistrado

Ponente: Jaime Córdoba Triviño.
(3) Ibídem.

(4) Literal c artículo 3 Ley 1581 de 2012.

(5) Corte Constitucional, Sentencia C-748 de 2011, Magistrado Ponente: Jorge Ignacio
Pretelt Chaljub.

(6) Literal e artículo 3 Ley 1266 de 2008.

(7) Guía de Videovigilancia, Agencia Española de Protección de Datos, página 6,

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/
gui a_videovigilancia.pdf.

(8) Artículo 2 Ley 1581 de 2012.

(9) Diccionario de la Real Academia de la Lengua Española, Vigésima segunda

edición, www.rae.es.

(10) Guía de Videovigilancia, Agencia Española de Protección de Datos, página 4,

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/
gui a_videovigilancia.pdf.

(11) Artículo 9 Ley 1581 de 2012.

(12) Artículo 4 Ley 1581 de 2012.

(13) Corte Constitucional, Sentencia C-748 de 2011, Magistrado Ponente: Jorge

Ignacio Pretelt Chaljub.

(14) Ibídem

(15) Literal g del artículo 4 Ley 1581 de 2012.

(16) Corte Constitucional, Sentencia C-748 de 2011, Magistrado Ponente: Jorge

Ignacio Pretelt Chaljub.

(17) Ibídem

(18) Literales d y e artículo 3 Ley 1581 de 2012.

(19) Artículo 17 Ley 1581 de 2012.

(20) Corte Constitucional, Sentencia C-748 de 2011, Magistrado Ponente: Jorge

Ignacio Pretelt Chaljub.
(21) Artículo 18 Ley 1581 de 2012.

Elaboró: Mariana Naranjo Arango

Revisó y aprobó: William Burgos Durango

Atentamente,

WILLIAM ANTONIO BURGOS DURANGO

Jefe Oficina Asesora Jurídica